Para hoy tenemos una nueva encuesta, que pueden contestar en esta entrada y en la columna de su derecha. La encuesta dice así:

¿Qué opinas de los congresos, jornadas, seminarios... de seguridad que actualmente hay en el panorama nacional?

• Son apasionantes y muy en línea con la demanda del mercado y las inquietudes tecnológicas del sector.
• Algunos están bien, pero fastidia que solo hablen los patrocinadores... y para contar su libro.
• Sólo se aprovechan comercialmente, en la hora del café (que ahora se llama coffee break).
• Son tan útiles como un teclado sin intro.

View Results

 Loading ...

Respecto a la encuesta anterior, los resultados se dividen entre los optimistas, que consideran que podremos mantener la privacidad en el futuro siempre que queramos renunciar a ciertos servicios, y los pesimistas, que piensan que hagamos lo que hagamos, es una batalla perdida. Como tercera alternativa, la idea de que la pérdida de la privacidad es algo positivo que es inherente al progreso que incorporan las nuevas tecnologías no parece tener demasiados seguidores, ya sea porque nadie considera en realidad que tal pérdida pueda ser considerado un avance, o porque las otras opciones estaban más definidas.

¿Está nuestra privacidad condenada a desaparecer?

• No, siempre que se esté dispuesto a renunciar a ciertos servicios. (53%, 57 Votos)
• Sí, nos forzarán a ello queramos o no. (42%, 45 Votos)
• Sí, pero es algo beneficioso que se llama progreso. (5%, 5 Votos)

Votantes: 107

 Loading ...

¡Esperamos sus respuestas!

El Informe sobre Seguridad en Juegos Online 2011 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 1.2MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga [PDF, 2.3MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

Recientemente el CSIRT-cv y el INTECO-CERT han publicado una guía denominada “Pentest: Information Gathering” (140 págs), del que son autores Borja Merino Febrero (@BorjaMerino), habitual colaborador de este blog (y magnífica persona, por lo que pude comprobar en mi visita a León) y José Miguel Holguin (@J0SM1, y que también es otra magnífica persona :), y cuya lectura es totalmente recomendable.

El objetivo principal de la misma es informar sobre algunas de las técnicas que los ciberdelincuentes utilizan para obtener información sobre empresas y organizaciones. Uno de los aspectos más significativos y destacables de esta guía es su enfoque real a la hora de detallar muchas de estas técnicas mediante ejemplos prácticos (utilizando herramientas como Metasploit, Maltego, Nmap, la Foca, etc.).

Lejos de detallar aspectos relacionados con la gestión de la seguridad de la información, el informe ofrece una visión más práctica orientada a responsables de seguridad con un perfil más técnico que administrativo. La guía puede servir de gran apoyo técnico a la hora de implementar contramedidas contra algunos ataques que posiblemente ni siquiera se habían valorado a la hora de crear políticas de seguridad. El enfoque utilizado para explicar muchos de estos ataques (utilizando ejemplos explícitos) puede ayudar a concienciar de manera más eficaz a responsables de seguridad que mediante recomendaciones puramente conceptuales, que en la práctica son difíciles de implementar.

Ahora que ha acabado 5ENISE, a pesar de la limitada perspectiva que me da no haber podido acudir a todos los talleres que me hubiera gustado (imponderables mecánicos en unos casos, cansancio en otros, falta de tiempo, etc.) y de que es mi primera asistencia a este evento, me gustaría hacer una crítica rápida a lo que vi durante los dos días y pico que estuve allí.

Supongo que a estas alturas ya sabrán que el pasado miércoles a las 19h estuvimos en el 1er encuentro Bloggers organizado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT) al amparo del 5º Encuentro Internacional de Seguridad de la Información 5ENISE, junto a varias figuras del mundo de la seguridad.

Antes de nada, cabe señalar la excelente organización del evento llevada a cabo por el INTECO-CERT y la inmejorable atención recibida gracias especialmente a Francisco Losada (@flosadam, la mano oculta que hizo que todo funcionase como un reloj) y Javier Berciano (@jberciano, coordinador del Área de Operaciones de INTECO-CERT), que fue mucho más allá de la cortesía propia de un anfitrión.

No sé si se lo habíamos dicho ya, pero si no es así, yo se lo digo.

Mañana estaremos (en concreto, un servidor) en la quinta convocatoria del ENISE, participando en la mesa redonda del Encuentro Bloggers de Seguridad 2011 convocado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT), junto a una selección de lo mejorcito del panorama blogger español en materia de Seguridad de la Información: David Hernández de Daboblog, José Selvi de Pentester.es, Yago Jesús de Security By Default, moderados por Javier Berciano, Coordinador del Área de Operaciones de INTECO-CERT.

Aunque pueden encontrar toda la información en la página del evento, éste tendrá lugar en el Salón Auditorio A del Parador San Marcos a las 19h bajo el lema “Hacia una sociedad conectada más confiable”, y se retransmitirá en directo en la web desde @intecocert con el hashtag #5Ebloggers y desde la web de 5Enise.

Por lo demás, pasaré los dos días restantes en León, así que si alguien quiere tomarse unas cervezas, no tiene más que enviarme un mail a mbenet@s2grupo.es y encontraremos un hueco.

Hace un par de días estuve viendo en La 2 de RTVE parte de un documental muy interesante sobre la problemática de los atascos a nivel mundial (pueden verlo en esta página), y que desvelaba iniciativas y medidas susceptibles de ser aplicadas en un futuro próximo para controlar y reducir este tipo de “fenómenos” y sus consecuencias negativas: pérdida de calidad de vida, disminución de la productividad, emisiones contaminantes, etc. Aunque el documental es totalmente recomendable por muchas razones y desvela parte de los misterios de los atascos, en este post me voy a centrar en aquellas partes que nos tocan más de cerca en calidad de blog de seguridad. Creo.

Imagino que como lectores avispados, sabrán que circular por el centro de Londres no es gratis, sino que hay que abonar una tasa previa. Este tipo de restricciones de circulación se aplican también (con mayor o menor suerte, mayor o menor justicia y por diversas razones) en otras muchas ciudades como Granada, con un importante centro histórico. En otras ciudades, sin embargo, en lugar de cobrar por circular, se recompensa a los conductores por evitar determinadas carreteras o lugares. Ya se trate de “refuerzo” negativo (tasa) o positivo (recompensa), actualmente el sistema para controlar a los vehículos pasa por la instalación de cámaras que fotografían las matrículas de los vehículos, realizan diferentes comprobaciones (¿es un residente? ¿ha pagado la tasa mensual? etc.) y ejecutan la acción correspondiente (sancionar al titular del vehículo, emitir la factura de la tasa, realizar un ingreso en la cuenta del titular, etc.).

No sé si recuerdan el primer post que José Rosell escribió en este blog, hace ya más de cuatro años. Hablaba del doble juego de las entidades de certificación, que deben velar por su negocio sin olvidar la obligación de poner unos límites a las entidades que certifican. No dejemos de lado que si la entidad A impone unos requisitos muy estrictos, los clientes acabarán por certificarse con la entidad B, porque algunas veces, un sistema de gestión sin “sello” es para gerencia casi como no tener nada. Es más, me juego con ustedes una cena a que entre un sello y un sistema de gestión bien implantado, muchas empresas escogerían el sello. Ya puedes ser buena persona, que como seas feo como un demonio, no te quiere nadie. Así que mejor ser guapo, que ya descubrirán lo mala persona que eres cuando te hayan conocido.

Dejemos eso de lado (pero no del todo). Como sabrán y si no es así se lo digo yo, entre S2 Grupo y AENOR hay una buena relación derivada de la realización de congresos y conferencias a lo largo de estos últimos años en el fomento de la seguridad, y en especial de la implantación de Sistemas de Gestión de Seguridad de la Información. Y trabajamos bien por dos razones: AENOR no realiza tareas de consultoría o implantación de SGSIs, y S2 Grupo no realiza tareas de certificación en nombre de nadie. Y esto último requiere una pequeña aclaración. Hubo un momento en el que S2 Grupo se planteó llegar a realizar procesos de auditoría bajo la marca AENOR, y de hecho el que escribe estas líneas es Auditor de Sistemas de Gestión de Seguridad de la Información por AENOR. No obstante, antes de lanzarse a la piscina, S2 Grupo consideró que implantar y auditar SGSIs eran aspectos que presentaban conflictos de intereses obvios, así que se descartó la idea; no era ético o aceptable jugar a las dos bandas, y nos decantamos por lo que hasta hoy seguimos haciendo: implantar SGSIs. Podría decirles que nos encantaría tener acceso a los procedimientos, formas de trabajar y documentación que la competencia utiliza para implantar SGSIs, pero déjenme decirles, créanme o no, que no lo necesitamos.

Como seguramente recuerden, el pasado 12 de mayo tuvo lugar una jornada en la que participamos junto con AENOR y Tecnofor, titulada El papel de los Sistemas de Gestión en las TIC. Durante las próximas semanas iremos incluyendo en el blog las presentaciones que tuvieron lugar. Por una simple cuestión de orgullo, comenzaremos con la mía, que versaba sobre la Continuidad de Negocio, desde el punto de vista de la UNE 71599 / BS 25999. Aunque se pierden los chistes y mi vis cómica, espero que les guste la presentación.

Pueden descargar esta y el resto de presentaciones desde la página de descargas de la jornada.